Wirklich kompetenter Filter gesucht

za0 · Beitrag von **za0** » 15.09.2007 11:35:29

Hi,

kennt Ihr einen wirklich kompetenten Netzwerk-Filter gegen P2P-Progrämmchen?

Six · Beitrag von **Six** » 15.09.2007 11:51:33

iptables und white-listing?

za0 · Beitrag von **za0** » 15.09.2007 14:10:53

Six hat geschrieben:iptables und white-listing?

Ich habe das bislang noch nie machen müssen.

Und wie genau soll man den Mist den Filtern? Die Serverlisten durchparsen und allle Amule ... usw. Server auf blocken ODER die Ports?

herrchen · Beitrag von **herrchen** » 15.09.2007 14:34:33

za0 hat geschrieben: Ich habe das bislang noch nie machen müssen.

was denn *genau*?

herrchen

za0 · Beitrag von **za0** » 15.09.2007 14:40:27

herrchen hat geschrieben: was denn *genau*?

herrchen

Traffic eines kompletten Netzes nach P2P-Packeten filtern und diese dann abfangen.

Six · Beitrag von **Six** » 15.09.2007 19:40:09

za0 hat geschrieben:
Six hat geschrieben:iptables und white-listing?
[snip]

Und wie genau soll man den Mist den Filtern?

Du wirst mindestens eine zwei-gleisige Strategie fahren müssen. Zunächst sind sowieso erst mal alle Ports geschlossen und nur die Ports, die benötigt werden, werden freigeschaltet. Das machst du mit IPTables und wird dir einen Großteil des unerwünschten Verkehrs erschlagen.

Irgendwann wird aber ein pfiffiges Kerlchen auf die Idee kommen, unerwünschten Verkehr durch erlaubte Ports zu tunneln und nun bieten sich zwei Wege an:

1) Content Inspection oder
2) Proxy.

1) Content Inspection setzt dabei auf deine bestehende Firewall auf und prüft neben Layer 3 (Ports, Protokol etc.) auch, welche Applikationen den Transfer-Service zur Verfügung stellen. Diese Layer 7 Informationen können dann über Pattern Matching mit IPTable Rules verbunden werden.

2) Proxies sind im Grunde dein eigenes kleines Internet, da sie eine Teilmenge des Netzes quasi spiegeln. Du mußt das Gerät als "forced proxy" einrichten, so daß jede Anfrage innerhalb deines Netzes an den Proxy gesandt wird. Der schaut dann, ob er die Anfrage bedienen kann. Kann er nicht, dann kann er entweder nachgucken gehen und den gewünschten Inhalt besorgen oder eben nicht. Damit das Konzept zieht, mußt du hier eine Positivliste (Whitelist) einrichten, sonst kann der Proxy unterlaufen werden.

Am besten und sichersten ist wie so häufig eine Mischung aus allen beiden.

za0 · Beitrag von **za0** » 15.09.2007 22:34:23

Hi Six,

ok - soweit. Ich lese mich mal rein.

Zwei Fragen hätte ich jedoch zum Proxy:

Ich habe mit Proxies passive Erfahrungen vor 8 Jahren gesammelt. Dabei musste ich feststellen, dass es oftmals dazu gekommen ist, dass der Proxie, der da lief, alle Clients mit alten gecacheten Daten abgefüllt hat. Ich habe die besagten Proxies nicht administriert, aber hoffe, dass das nur ein Konfigurationsfehler gewesen ist - ODER ist das bei Proxy-Servern so üblich?

In wie weit nimmt das Benutzen eines Proxies Einfluss auf FTP?

Six · Beitrag von **Six** » 16.09.2007 14:34:21

za0 hat geschrieben:Hi Six,

ok - soweit. Ich lese mich mal rein.

Zwei Fragen hätte ich jedoch zum Proxy:

Ich habe mit Proxies passive Erfahrungen vor 8 Jahren gesammelt. Dabei musste ich feststellen, dass es oftmals dazu gekommen ist, dass der Proxie, der da lief, alle Clients mit alten gecacheten Daten abgefüllt hat. Ich habe die besagten Proxies nicht administriert, aber hoffe, dass das nur ein Konfigurationsfehler gewesen ist - ODER ist das bei Proxy-Servern so üblich?

Das kommt drauf an, wie der Proxy konfiguriert ist.

In wie weit nimmt das Benutzen eines Proxies Einfluss auf FTP?

Auch das ist eine Konfigurationsfrage, aber bedenke, je mehr der Proxy cachen muß, um so leistungsfähiger solltest du die Maschine(n) auslegen.